一种基于控守图的网络系统防御方法

本发明涉及网络安全，尤其涉及一种基于控守图的网络系统防御方法。

背景技术：

1、近年来，随着网络技术的快速发展和普及，网络信息系统的复杂性和重要性日益增强。如今，网络空间不仅是政府、工业界和学术界的关注焦点，也与每个人的日常生活紧密相连。然而，伴随着这一进程，网络空间所面临的安全威胁也日益显著，尤其是网络攻击的形式越来越多样化、隐蔽化和智能化，现有的防御体系往往难以防护，因此研究一种有效的网络安全防御决策系统具有重要的意义。

2、现有技术针对计算机系统中的攻击者和防御者之间的对抗关系，提出了一个创新的对抗模型。此模型的一个关键特点是考虑到了即攻击者和防御者之间感知的不对称性，即双方对环境信息的认知和利用程度存在差异。为了有效模拟攻击场景，现有技术构建了基于网络攻击杀伤链主要阶段的基本攻击情境，这种方法不仅有助于理解网络攻击的不同阶段，而且为分析攻击者的行为模式提供了实际框架。鉴于模型本身的复杂性，以及模型中潜在的大量状态，通过传统的分析手段来确定最佳防御策略变得极为困难。为了解决这一问题，现有技术采用了dqn算法来训练防御代理。这种深度强化学习方法使得防御代理能够基于观察到的攻击者行为，智能地选择最有效的防御策略。总体来说，现有技术通过引入深度强化学习，为网络安全领域提供了一个新的视角，特别是在处理攻击者与防御者复杂交互关系的场景中。它不仅增强了对网络攻击动态的理解，而且为开发高效、适应性强的防御机制提供了技术支持。

3、然而，在实际的网络信息系统环境中，防御者面临的是对整个网络系统的综合防御任务，这要求不仅针对单个节点，而是多个节点，需要对整个网络拓扑进行深入分析和防护，现有技术的方案主要集中于单个的主机节点面临不同攻击阶段时的最佳防御策略，而未充分考虑在复杂网络拓扑结构中防御者的连贯反应，防御效用较低。

4、因此，亟需提供一种方案改善上述问题。

技术实现思路

1、为改善上述问题，本发明提供的一种基于控守图的网络系统防御方法，以改善目前在网络信息系统中，防御方防御效用低下的问题。

2、本发明提供的一种基于控守图的网络系统防御方法采用如下的技术方案：

3、获取蜜点设备信息、网络资产设备信息和攻击者的攻击路径信息生成具有多条路径的控守图；

4、基于防护脆弱性获取所述路径上所有的m个网络资产设备的攻击价值评分，将所述攻击价值评分从高到低进行排序，选取前n个网络资产设备对应的蜜点设备作为高攻击价值蜜点设备，并基于所述高攻击价值蜜点设备获取攻击者的攻击意图信息，其中，n＜m；

5、基于所述攻击意图信息对防御收益模型进行训练获得训练后的防御收益模型，基于训练后的防御收益模型获得使得防御者收益最大化的防御策略，并根据所述防御策略对所述高攻击价值蜜点进行防御调整；所述防御策略包括ip调整和端口号调整中的一种。

6、本发明提供的一种基于控守图的网络系统防御方法的有益效果在于，首先，本方法通过控守图能够直观显现攻击者的攻击意图，扩宽了网络防御方地全局视角，加强了对潜在威胁的预测和响应能力，确保了防御措施在面对复杂多变的网络攻击时能够更加精准和有效；其次，根据攻击意图信息，利用防御收益模型对蜜点设备的ip地址和端口号进行更改，不仅能够增加攻击者的攻击成本，还能持续监测网络活动，及时捕捉并分析攻击者的可疑行为，提升网络防御系统的智能化水平。

7、可选地，网络资产设备的防护脆弱性越高，攻击者的攻击价值越高。

8、可选地，对防御收益模型进行训练的过程包括：

9、建立状态空间和动作空间，所述状态空间由网络的当前配置和网络资产设备的安全级别组成，所述动作空间由更换蜜点设备的ip地址和端口号组成；

10、初始化时间步长以及主网络和目标网络的权重，将目标值的网络参数初始化为主网络参数；

11、将状态空间输入到主网络中，选取使得动作-价值函数值最大的对应动作为当前时刻的最佳动作，所述最佳动作为更换蜜点设备的ip地址和端口号中的其中一个。

12、防御者根据当前状态以预设概率执行所述最佳动作，并从动作空间中随机选择一个动作进行执行，对应获得奖励和下一时刻的状态；

13、基于当前状态、下一时刻的状态和奖励获取每个时间步长对应的转移数据，并将所述转移数据存储到回放缓冲区中，其中，转移数据由多个转移数据样本组成。；

14、从所述回放缓冲区中进行随机抽样后得到一个转移数据样本，基于所述转移数据样本计算目标动作-价值函数值和当前动作-价值函数值；

15、基于所述目标动作-价值函数值和当前动作-价值函数值的差值计算损失函数，并基于所述损失函数利用梯度下降更新主网络的权重和目标网络的权重。

16、可选地，所述攻击意图信息由针对ip地址的攻击和针对端口号的攻击组成，其中，针对特点ip地址的攻击为：分布式拒绝服务攻击、ip扫描攻击、针对性攻击，针对端口的攻击为：端口扫描攻击、服务特定攻击。

17、可选地，所述奖励为：

18、rt＝αrt-βct+γ(ωip·aip+ωport·aport)；

19、其中，rt表示防御者获取的奖励，α，β，γ为权重系数，用于平衡各部分的影响，rt为攻击者成功与否的反馈，成功为1，不成功为0，ct为是蜜点设备经过ip地址突变或端口突变后的资源开销，aip表示ip地址突变，aport表示端口突变，ωip为ip地址突变策略的权重，ωport为端口突变策略的权重。

20、可选地，所述防御策略包括：

21、当攻击者对所述特定ip地址进行攻击时，增加进行ip地址突变策略的权重；当攻击者对所述端口漏洞进行攻击时，增加端口突变策略的权重，其中，所述端口突变策略的权重与ip地址突变策略的权重和为1。

22、可选地，根据所述防御策略对所述高攻击价值蜜点进行防御调整的过程，包括：

23、基于防御策略随机从未被分配的ip地址池和端口池中选择预设ip地址和预设端口，并基于固定的突变周期、ip地址突变策略的权重和端口突变策略的权重对所述预设ip地址和预设端口进行迭代更新，得到更新后的ip地址和更新后的端口，并在每一次迭代更新后，将迭代更新前的预设ip地址和预设端口从ip地址池和端口列表池中移除。

技术特征：

1.一种基于控守图的网络系统防御方法，其特征在于，包括：

2.根据权利要求1所述的一种基于控守图的网络系统防御方法，其特征在于，网络资产设备的防护脆弱性越高，攻击者的攻击价值越高。

3.根据权利要求1所述的一种基于控守图的网络系统防御方法，其特征在于，对防御收益模型进行训练的过程包括：

4.根据权利要求1所述的一种基于控守图的网络系统防御方法，其特征在于，所述攻击意图信息由针对ip地址的攻击和针对端口号的攻击组成，其中，针对特点ip地址的攻击为：分布式拒绝服务攻击、ip扫描攻击、针对性攻击，针对端口的攻击为：端口扫描攻击、服务特定攻击。

5.根据权利要求3所述的一种基于控守图的网络系统防御方法，其特征在于，所述奖励为：

6.根据权利要求1所述的一种基于控守图的网络系统防御方法，其特征在于，所述防御策略包括：

7.根据权利要求1所述的一种基于控守图的网络系统防御方法，其特征在于，根据所述防御策略对所述高攻击价值蜜点进行防御调整的过程，包括：

技术总结本发明提供了一种基于控守图的网络系统防御方法，涉及网络安全技术领域，包括：获取蜜点设备信息、网络资产设备信息和攻击路径信息生成具有多条路径的控守图；基于所述控守图对路径上最易被攻击的网络资产设备进行仿真后生成相应的蜜点设备，并基于所述蜜点设备获取攻击者的攻击意图信息；将所述攻击意图信息输入到防御收益模型进行训练调参后获得训练好的防御收益模型，基于所述训练后的防御收益模型输出使得防御者收益最大化的防护策略信息；防御者基于所述防护策略信息更换蜜点设备的IP地址或端口号进行防御。本发明在控守图的背景下，利用强化学习算法，动态调整防御策略，增加了攻击者的攻击成本，提高了网络系统的安全性。技术研发人员：田志宏,李凡,王瑞,方滨兴,苏申,刘园,孙彦斌,鲁辉,徐光侠,仇晶,周盈海受保护的技术使用者：广州大学技术研发日：技术公布日：2024/10/10